Intel brengt SGX naar datacenters met nieuwe hardware

Intel lanceert de SGX-kaart. Dat stuk hardware maat servers met iets oudere hardware compatibel met zogenaamde Software Guard eXtentions, die een soort software-enclave genereren waarin gevoelige code veilig kan draaien.

Intel SGX kan op steeds meer bijval rekenen. SGX, kort voor Software Guard eXtensions, is een stuk technologie dat een processor toelaat om een virtuele beveiligde enclave te bouwen. In die enclave kan dan erg gevoelige code draaien zonder dat die hinder kan vinden van invloeden van buitenaf. Zelfs het besturingssysteem heeft geen invloed op de code in de enclave. Zo zijn de afgeschermde workoads veilig voor heel geavanceerde malware-infecties of spionage.

SGX en Xeon

SGX is een feature die ingebouwd zit in een heleboel nieuwe processors, maar nog niet uitgerold werd over de totale Xeon scalable line-up. Een dergelijke integratie staat wel in de planning, maar nu organisaties het nut van SGX steeds duidelijker beginnen zijn is er een vraag vanuit datacenterproviders om met SGX aan de slag te gaan zonder dat daar een toekomstige refresh van de infrastructuur voor nodig is.

Intel hoorde die vraag, en bouwde speciaal daarvoor een SGX-kaart. Die kaart is gebouwd op het geraamte van een grafische accelerator, en past in Xeon-servers via de PCIe-aansluiting. Zo krijgen eigenaars van datacenters een manier om op een relatief budgetvriendelijke manier aan de slag te gaan met de veiligheidsvoordelen die SGX biedt.

Launch control

Op cpu’s voor pc’s zijn de enclaves aan strikte regels onderworpen. Dat is nodig, aangezien in theorie ook malafide code gebruik kan maken van de enclaves met alle nare gevolgen van dien. Dat zoiets niet denkbeeldig is, onthulden beveiligingsonderzoekers pas nog. In principe moet code bedoeld voor een enclave voorzien zijn van een certificaat van Intel zelf, maar voor gebruik in datacenters gooit de processorspecialist het over een andere boeg. Samen met de SGX-kaart kondigt Intel immers de Flexible Launch Control aan, waarmee organisaties zelf meer controle krijgen over de opstart van enclaves.

Intel communiceert nog geen prijs voor de SGX-kaart en ook een precieze lanceringsdatum ontbreekt, maar de hardware moet “later dit jaar” beschikbaar komen.

Gerelateerd: Beveiligingsfunctie in Intelchips misbruikt om malware te verbergen